vsftp允许通过iptables防火墙策略可以ping别的机器,

摘要: vsftp允许通过iptables防火墙策略可以ping别的机器,,vsftp允许通过,iptables防火墙,linux运维,好用的linux运维指南,您值得拥有

开启防火墙
[root@localhost ~]# service iptables restart
iptables:将链设置为政策 ACCEPT:filter                    [确定]
iptables:清除防火墙规则:                                 [确定]
iptables:正在卸载模块:                                   [确定]
iptables:应用防火墙规则:                                 [确定]
 
开启端口
[root@localhost ~]# iptables -I INPUT -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT
[root@localhost ~]# iptables -I OUTPUT -p tcp --sport 22 -j ACCEPT
[root@localhost ~]# iptables -I OUTPUT -p tcp --sport 80 -j ACCEPT
 
[root@localhost ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:22
 
[root@localhost ~]# iptables -t filter -P INPUT DROP
[root@localhost ~]# iptables -t filter -P OUTPUT DROP
 
[root@localhost ~]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
 
Chain OUTPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:22
 
 
我可以ping别人,别人不能ping我
 
[root@localhost ~]# iptables -I OUTPUT -p icmp --icmp-type 8 -j ACCEPT
[root@localhost ~]# iptables -I INPUT -p icmp --icmp-type 0 -j ACCEPT
[root@localhost ~]# iptables -I INPUT -p icmp --icmp-type 3 -j ACCEPT
[root@localhost ~]# iptables -I INPUT -p icmp --icmp-type 8 -j ACCEPT

Ping
 

128主机ping 192.168.28.100可以ping通

ping

添加防火墙里面20,21开启端口
[root@localhost ~]# iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
[root@localhost ~]# iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
[root@localhost ~]# iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
[root@localhost ~]# iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
 
vsftpd登录后不显示文件目录的解决方法,给vsFTPd增加随机端口的范围,然后把这个端口范围添加到iptables即可。
 
iptables仅仅开放了80、21等常用端口,导致了vsFTPd在被动模式时无法使用随机端口,从而造成了客户端连接FTP时无法列出目录这样的问题。
解决方式:
给vsFTPd增加随机端口的范围,然后把这个端口范围添加到iptables。
配置vsftpd.conf主配置文件
Vim  /etc/vsftpd/vsftpd.conf
在配置文件最后添加两条参数
pasv_min_port=30000
pasv_max_port=31000
 
[root@localhost ~]# iptables -A INPUT -p TCP --dport 30000:31000 -j ACCEPT
[root@localhost ~]# iptables -A OUTPUT -p TCP --sport 30000:31000 -j ACCEPT

 

客户端连接

使用第三方软件链接

本文由 帝一博客 原创发布。用户在本站发布的原创内容(包括但不仅限于回答、文章和评论),著作权均归用户本人所有。独家文章转载,请联系邮箱:17762131@qq.com。获得授权后,须注明本文地址: https://www.d1blog.com/linuxyunwei/1571.html

网友留言评论

0条评论